ElectroYou - la comunità dei professionisti del mondo elettrico

[arkeo2001]

Titolo bizzarro vero? Spiego.

Tempo fa mi capita non so come (e proprio sul "come" verterà la domanda) un oscuro numero di una rivista specializzata. Non vorrei dire una delle IEEE ma quasi; cose per specialisti quasi sempre disponibili ma solo a pagamento, linguaggio molto tecnico. Si descriveva un sistema per spiare i PC totalmente isolati dalla rete ma nei cui pressi fosse possibile un'intercettazione ambientale. L'idea descritta è quella di infettare il PC con un apposito software che legge quello che gli interessa, codifica le info rilevanti in binario e fa corrispondere ai due stati due valori diversi della velocità delle ventole del PC che possono essere ascoltati da un micro nelle vicinanze, magari quello dello smartphone anch'esso infettato. E' ovvia tutta una serie di obiezioni (devono sussistere una quantità di condizioni poco realistiche, bitrate prossimo a zero) ma chi non conosceva l'idea non può non convenire che è come minimo genialoide. Sembra dall'articolo che fosse anche stata utilizzata in pratica.

E allora mi chiedo, se questo sistema ormai vecchio di diversi anni è stato pensato, quante decine di altri sistemi più moderni, geniali e difficilissimi da scovare possono esistere? E sicuramente molti vengono usati per controlli a tappeto; del resto basta ricordare che quando MS acquisì Skype, come prima cosa centralizzò il sistema (prima era distribuito e crittato e skype guarda caso era la spina nel fianco della NSA) per poter rientrare nel patriot act. Oppure la faccenda dei modem smartphone blindati, il sottosistema hardware Intel che è un PC invisibile e controllabile da remoto, eccetera.

Ed ecco la domanda. In rete, per ovvi motivi, non si trova quasi niente. Non sono paranoico ma basta cercare con google sul tema privacy, usciranno sempre decine di pagine di scemenze e non credo sia un caso (sono sicuro che con le parole chiave giuste esce qualcosa ma occorre conoscerle e il serpente si morde la coda). E allora: ci sono riviste, siti, risorse online su questo argomento? Penso che l'unico modo per sapere qualcosa su cosa ci accade intorno sia quello di cercare risorse specialistiche, possibilmente indipendenti e che siano tecnicamente serie. E' evidente che la generica lamentela del complottista di turno non ha nessuna utilità.

Riformulo la domanda per chiarire l'intento: secondo voi, se ai ricercatori di gluglu e NSA dicessero che possono ricorrere solo a 4-5 risorse tecniche come riviste online (si spera free) e siti, quali sarebbero secondo voi?

grazie per qualsiasi idea.

[EdmondDantes]

Non e' una idea peregrina.
Anni fa lessi un articolo sulla intercettazione dei caratteri battuti su una tastiera, misurando la variazione del campo elettromagnetico nell'intorno del calcolatore. E senza infettare il PC.

[arkeo2001]

Sì, me ne ricordo bene e mi ero dimenticato di citarla, è davvero preoccupante. Anche se uno non ha niente da nascondere non è un motivo valido per poterlo controllare e spiare.

[rugweri]

Se ti interessa l'argomento "sicurezza e privacy", la Wiley ha una bella serie di testi che spiegano come effettivamente sia possibile condurre certi attacchi e come difendersi... sono ad un livello di astrazione un po' più alto dell'esempio che citavi tu, ma potrebbero interessarti comunque:

https://www.wiley.com/en-it/The+Web+App ... 1118026472
https://www.wiley.com/en-it/The+Oracle+ ... 0470133705
https://www.wiley.com/en-it/The+Databas ... 0764578014

Un'altra serie molto più variegata è quella della No Starch Press, ma non ho ancora avuto modo di verificarne la qualità... comunque, questi sono alcuni dei titoli che propongono:

https://nostarch.com/carhacking
https://nostarch.com/bughunter (Questo qui in realtà lo avevo iniziato e non mi sembrava male, ma prima di esprimermi davvero vorrei leggerlo attentamente)
https://nostarch.com/malware

[GiudiceDiPace]

In ambito "spionaggio" la realtà supera di molto la fantasia ...
E comunque non servono tanti virus o metodi complicati, le NOSTRE informazioni le mettiamo VOLONTARIAMENTE a disposizione quando apriamo una qualsiasi APP, accediamo ad un qualsiasi sito, usiamo la carta fedeltà, o paghiamo con la carta di credito ...
A cosa serve spiare ... quando è possibile trovate tutto facilmente ?

Di Pace Giudice

[arkeo2001]

Non mi riferivo solo a quel livello, che è quello praticamente visibile, cerco di fare un altro esempio coi sorgenti di Android. Sono disponibili e quindi in linea di puro principio potrei esaminarli, "castrare" le funzionalità invadiprivacy e avere una versione mia ragionevolmente sicura. Ma ho letto per caso, alla quinta pagina dei risultati ricerca che il modem lo fa praticamente solo una ditta, è blindato e dei drivers forniti non ci sono i sorgenti. Inoltre il protocollo GSM è pieno di falle di sicurezza (e non sono sicuro sia un caso) e da sole le due cose vanificano ogni tentativo si possa fare di sapere cosa esce dallo smartphone.

Ora il fatto è che queste cose le abbia trovate dopo ricerche su ricerche e dire che gluglu non è stato di aiuto è un eufemismo. Chiaramente riprovando con parole chiave mirate sapendo cosa cercare esce tutto: gluglu non mente, si limita a nascondere.

Ecco, esiste una specie di notiziario online in cui per esempio se esce un nuovo modem qualcuno ne fa quel poco di reverse engineering possibile e ne parla? Ci sarà qualche ente, fondazione o associazione di tecnici seri che si è stufata di questo andazzo e tenta di diffondere le notizie utili a sapere cosa accade in questo settore? Come accennavo implicitamente c'è l'alternativa: è quella di dedicare la vita professionale a queste cose e nel caso improbabile che se si ha talento non si sia finiti assunti da una ditta come gluglu (e quindi no disclosures come se piovesse), essere abbonati a 10 riviste, leggere tutto, report, datasheet e... e niente, a quanto pare figure di questo tipo sembrano non esistere. O meglio, esistono ma sono "dall'altra parte della barricata". :/

[rugweri]

Tutto esiste... per chi può capirlo.
Di report sulla sicurezza informatica ce ne sono a dozzine, ci sono addirittura dei canali youtube che trasmettono per intero conferenze di altissimo livello sul tema... ma sono risorse comprensibili da chi ha certe competenze, e nessuno ha voglia di perdere tempo a cercare di semplificare ciò che non ha senso semplificare: per il pubblico bastano le liste di regolette del tipo "non fare questo, ricordati di fare quello".